BLOG

Očima Nethemby: Velká bankovní loupež

2015-02-17 22:19 Pavol Lupták

Společnosti Kaspersky Lab se podařily dva husarské PR kousky světového charakteru – odhalili a zdokumentovali jednu z největších bankovních online loupeží (oběťmi se prý stalo až 100 bankovních institucí a odhadované škody byly v celkové sumě až jedné miliardy dolarů) a také identifikovali skupinu Equation a její vysoce sofistikované malware nástroje.

Shrnutí rozsáhlé bankovní loupeže je v následujícím videu

Detaily byly popsané v následujícím dokumentu a případ byl značně zviditelněn i slovenskými médii – Hackeri masívne útočili na banky. Ukradli miliardu dolárov, Banky na Slovensku vraj nezaznamenali „miliardový” útok hackerov,  Veľká lúpež: Kybergang ukradol miliardu dolárovSkontrolujte si účty. Bankoví hackeri ukradli milióny cez škodlivý softvérHackerský gang ukradol z bánk miliardu dolárovHackeri okradli banky o miliardu dolárovVeľká lúpež: Hackeri ukradli bankám po celom svete vyše miliardy dolárov. Naše sestříhané vyjádření pro Markízu.

Rád bych shrnul několik klíčových bodů k samotné „Velké bankovní loupeži“.

1. Nejslabším článkem jsou, byli a budou lidé

Malware Carbanak se mezi zaměstnanci bank šířil úplně triviálním způsobem – pomocí „spearphishingu“ jako speciálně upravený wordovský dokument (Word 97-2003 .doc) a jako Control Panel Applet (.cpl). Uvedené přílohy využívaly známé chyby Microsoft Office 2003, 2007 a 2010 (CVE-2012-0158 a CVE-2013-3906) a Microsoft Wordu (CVE-2014-1761).

Ano, zaměstnanci dotyčných bank tyto soubory skutečně otevírali ve svých neaktualizovaných verzích programu Word/Office a tím se stali obětí počítačové infekce.

Rád bych zdůraznil, že vytvořit takto spustitelný malware je relativně jednoduché, stejně jako dosáhnout toho, aby byl obfuskovaný, tedy neodhalitelný veřejně dostupnými antiviry (při našich testech sociálního inženýrství to běžně provádíme).

Na straně bank očividně selhal globální „patch management“ a bezpečnostní povědomí jejich zaměstnanců o otevírání potenciálně nebezpečných příloh bylo nedostatečné.

Spuštění tohoto typu malwaru obvykle pro útočníka znamená získání plné kontroly nad počítačem oběti a kompletní monitorování její počítačové činnosti (všechny klávesy, pohyb myši, veškerá komunikace, apod.).

V případě Carbanak malwaru stojí za zmínku, že dokázal natáčet videa a pořizovat pravidelné screenshoty (každých 20 sekund) svých obětí, což umožnilo útočníkům naučit se detailně napodobit jejich chování.

2. Impersonifikace

Klíčový prvek celého útoku byla impersonifikace, tedy vydávání se za zaměstnance banky, jejichž chování bylo předem identifikované a natočené malwarem, díky čemuž útočníci dokázali obejít různé mechanismy na detekci podvodů a realizovat množství citlivých operací (zakládat bankovní účty, provádět převody, apod.).

Impersonifikace je metoda, kterou využíváme také například pro caller ID spoofing telefonickém sociálním inženýrství, které je skutečně velmi účinné.

3. Méně je někdy víc

Podvodné převody byly vždy v celkové sumě nižší než 10 milionů dolarů. Nejpravděpodobnějším důvodem bylo vyhnout se anti-fraud detekčním mechanismům a vyšetřovacím týmům. Tato metoda se v IT bezpečnosti nazývá také “salámový útok“, kdy útočník realizuje velké množství malých transakcí v relativně dlouhém časovém období s cílem vyhnout se odhalení.

4. Bankomaty jako cesta k anonymitě

Jakékoliv online bankovní transakce jsou monitorované a prakticky na celém světě jsou vlastníci běžných bankovních účtů dohledatelní. Útočníci, kteří využívali Carbanak malware, měli více možností, jak vybrat peníze z falešně vytvořených bankovních účtů. Primárně se rozhodli zřejmě pro tu nejpřímější možnost – výběr peněz v dohodnutou dobu v omezeném množství z velkého počtu dopředu těžko identifikovatelných bankomatů. Druhou možnost představovaly převody na další hůře dohledatelné účty využitím SWIFT.

Shrnutí

Úspěch současných malwarů osobně nevidím v jejich technické dokonalosti, ale ve schopnosti efektivně využívat a adresovat prvky sociálního inženýrství (v tomto případě to byl starý a účinný spearphishing). Díky tomu dokážou být extrémně účinné v situaci, kdy se obětí stane byť jen jediný zaměstnanec finanční instituce.

Elegance samotné bankovní loupeže tedy nespočívala v nových technických postupech nebo sofistikovaných nástrojích, ale v pečlivém naplánování samotného útoku a hloubkové analýze oběti.